11.5. Access to the SNMP-USER-BASED-SM-MIB (Accès au SNMP-USER-BASED-SM-MIB)

11.5. Access to the SNMP-USER-BASED-SM-MIB (Accès au SNMP-USER-BASED-SM-MIB)

Cette section fournit des recommandations pour contrôler l'accès aux objets du module SNMP-USER-BASED-SM-MIB.

Overview (Aperçu)

Le SNMP-USER-BASED-SM-MIB contient des informations sensibles liées à la sécurité, notamment:

• Noms d'utilisateur et paramètres de sécurité
• Identifiants de protocole d'authentification et de confidentialité
• Mécanismes de changement de clés
• Compteurs statistiques

Un accès inapproprié à ces objets pourrait compromettre la sécurité de l'ensemble du système de gestion SNMP.

Access Control Requirements (Exigences de contrôle d'accès)

L'accès au SNMP-USER-BASED-SM-MIB DOIT (MUST) être contrôlé en utilisant le modèle de contrôle d'accès basé sur les vues (VACM) [RFC3415] ou un autre mécanisme de contrôle d'accès de force équivalente.

Recommended Access Controls (Contrôles d'accès recommandés)

Les directives de contrôle d'accès suivantes sont recommandées:

1. usmUserTable - Table de configuration utilisateur (User Configuration Table)

Accès en lecture (Read Access):

• Les utilisateurs DEVRAIENT (SHOULD) pouvoir lire leur propre entrée dans la usmUserTable
• Les administrateurs DEVRAIENT (SHOULD) pouvoir lire toutes les entrées
• Les utilisateurs généraux NE DEVRAIENT PAS (SHOULD NOT) pouvoir lire les entrées d'autres utilisateurs

Accès en écriture (Write Access):

• Les utilisateurs DEVRAIENT (SHOULD) pouvoir modifier certains objets dans leur propre entrée:
  • usmUserOwnAuthKeyChange - pour changer leur propre clé d'authentification
  • usmUserOwnPrivKeyChange - pour changer leur propre clé de confidentialité
  • usmUserPublic - un objet général inscriptible
• Les administrateurs DEVRAIENT (SHOULD) pouvoir:
  • Créer de nouveaux utilisateurs via usmUserCloneFrom et usmUserStatus
  • Modifier usmUserAuthKeyChange et usmUserPrivKeyChange pour tous les utilisateurs
  • Supprimer des utilisateurs en définissant usmUserStatus à destroy(6)
• Les utilisateurs généraux NE DEVRAIENT PAS (SHOULD NOT) pouvoir modifier les entrées d'autres utilisateurs

2. usmUserSpinLock

• Accès en lecture: Tous les utilisateurs authentifiés
• Accès en écriture: Uniquement les administrateurs ou les utilisateurs autorisés à modifier usmUserTable

Le usmUserSpinLock est utilisé pour coordonner l'accès à la usmUserTable lorsque plusieurs gestionnaires tentent des modifications simultanées.

3. Groupe usmStats - Compteurs statistiques (Statistics Counters)

Accès en lecture (Read Access):

• DEVRAIT (SHOULD) être lisible par les administrateurs et les applications de surveillance
• PEUT (MAY) être lisible par les utilisateurs authentifiés généraux à des fins de diagnostic

Accès en écriture (Write Access):

• NE DEVRAIT PAS (SHOULD NOT) être inscriptible par aucun utilisateur (ce sont des compteurs en lecture seule)

Les compteurs statistiques fournissent des informations précieuses pour:

• La surveillance de la sécurité et la détection d'intrusion
• Le dépannage des problèmes d'authentification et de synchronisation temporelle
• La planification de la capacité

4. Key Management Objects (Objets de gestion de clés)

Les objets suivants nécessitent une protection spéciale:

• usmUserAuthKeyChange et usmUserPrivKeyChange: Ces objets permettent aux administrateurs de changer les clés de n'importe quel utilisateur. L'accès devrait être strictement limité aux administrateurs de confiance.
• usmUserOwnAuthKeyChange et usmUserOwnPrivKeyChange: Ces objets permettent aux utilisateurs de changer leurs propres clés. Chaque utilisateur devrait avoir un accès en écriture à ces objets uniquement dans sa propre entrée.

Important: Ces objets utilisent un protocole spécial de changement de clé (décrit dans la section 5 du module MIB) pour garantir que les clés ne peuvent pas être interceptées ou divulguées pendant l'opération de changement.

View Configuration Example (Exemple de configuration de vue)

Une configuration VACM typique pourrait inclure:

1. Vue administrateur (Administrator View): Accès complet en lecture-écriture à l'ensemble de la usmUserTable et accès en lecture à usmStats

2. Vue d'auto-gestion utilisateur (User Self-Management View): Accès en lecture à sa propre entrée dans usmUserTable, accès en écriture à usmUserOwnAuthKeyChange et usmUserOwnPrivKeyChange dans sa propre entrée

3. Vue de surveillance (Monitoring View): Accès en lecture seule au groupe usmStats pour la surveillance de la sécurité

4. Vue restreinte (Restricted View): Aucun accès à usmUserTable, accès limité ou nul à usmStats

Security Considerations for MIB Access (Considérations de sécurité pour l'accès au MIB)

1. Empêcher l'énumération (Prevent Enumeration): Restreindre l'accès en lecture à usmUserTable empêche les attaquants d'énumérer les noms d'utilisateur valides.

2. Protéger les opérations de changement de clé (Protect Key Change Operations): Même si les clés elles-mêmes ne sont jamais directement lisibles, le mécanisme de changement de clé devrait être protégé pour empêcher les changements de clé non autorisés.

3. Surveiller les statistiques (Monitor Statistics): La surveillance régulière des compteurs usmStats peut aider à détecter:

   • Tentatives d'authentification par force brute (usmStatsWrongDigests)
   • Problèmes de synchronisation temporelle (usmStatsNotInTimeWindows)
   • Tentatives d'utilisation d'utilisateurs inconnus (usmStatsUnknownUserNames)

4. Intégration du journal d'audit (Audit Log Integration): Envisagez d'intégrer les événements de sécurité SNMP (dérivés des changements usmStats) dans les systèmes de gestion des informations et des événements de sécurité (SIEM) d'entreprise.

Initial Configuration (Configuration initiale)

Lors de la configuration initiale d'un moteur SNMP:

1. Au moins un utilisateur initial avec des privilèges administratifs complets DOIT (MUST) être configuré.
2. Cet utilisateur initial devrait être configuré via un mécanisme hors bande sécurisé (par exemple, accès console local).
3. Une fois l'utilisateur initial configuré, des utilisateurs supplémentaires peuvent être créés via SNMP en utilisant le mécanisme usmUserCloneFrom.
4. Les informations d'identification de l'utilisateur initial devraient être changées immédiatement après la première utilisation si les informations d'identification par défaut ont été utilisées pendant le démarrage.